Upgrade 11 zu 12 - Neuinstallation statt Backupmitnahme [verschoben]

[JP2020]

Hallo,

ich würde gerne in unserer Umgebung den KSC 11 auf KSC 12 updaten, und das ganze zum Anlass nehmen die ganze Struktur zu optimieren und aufzuräumen.

Aktuell beträgt das Backup ca. 8 GB, das Ganze System ist träge und es gibt viele “alt” Richtlinien und Jobs die dem sicher einiges beitragen.

Der Grund wieso ich hier an Neuinstallation und nicht einfach an eine Bereinigung denke: Wir hatten wohl einige zeit lang fälschlicherweise den KSC internen WSUS aktiv. KSC hat hier fleißig Windows und Programmupdates geladen - das geschieht im Rahmen des Jobs “Nach Schwachstellen Suchen”

Man hat in der Übersicht zwar die Möglichkeit, die Updatedateien zu löschen, das führt jedoch zu keiner Aktion.

 

Selektiv sichern, z.b. nur die Richtlinien und clients, kann man auch nicht.

Es lassen sich lediglich die Richlinien exportieren.

 

Mein größtes Bedenken ist hier, anschließend nicht alle Clients wieder nahtlos importieren zu können

 

Erfahrungen?

[alexcad]

Hallo JP2020,

willkommen im Forum.

Einen klaren Schnitt zu machen und sich von Altlasten zu befreien ist oft eine gute Idee - dazu gleich mehr.

Zuerst ein Hinweis: Erst wenn ein Patch oder Update durch die Aufgabe “Erforderliche Updates installieren und Schwachstellen schließen” auf einem verwalteten System ausgerollt wird, lädt das KSC die Datei in den Speicher. In der Regel landen die Dateien im Ordner “C:\ProgramData\KasperskyLab\adminkit\1093\.working\FTServer\”, der sich leider nicht ändern lässt. Ein Löschen der Installationsdateien über das KSC leert diesen Ordner sowie die bereits auf den Clients gespeicherten Update-/Patch-Dateien. 
 

Die Updates/Patches verschwinden aber nicht aus der Liste, was ja auch sinnvoll ist: Nur so lässt sich der Zustand der Systeme bzgl. Schwachstellen und fehlenden Updates weiterhin auswerten und ggf. reagieren.

 

Jetzt zur Migration - ich gehe in der Regel so vor, wenn ich mich von Altlasten befreien will:

• Installation neues KSC auf neuem Server.
• Anlegen der Verwaltungsstruktur. Auch hier ist es oft sinnvoll alles zu überdenken und in Hinblick der neuen Funktionen (Verteilungspunkte, Verbindungs-Gateway, Verbindungsprofile, dynamische Verschieberegeln,...) anzulegen.
• Konfiguration der Richtlinien und Aufgaben nach aktueller “Best Practice”. Falls Einstellungen, wie z. B. Ausnahmen doch übertragen werden müssen:
  • Richtlinien und Aufgaben lassen sich exportieren und importieren.
  • In den Richtlinien lassen sich auch nur die Ausnahmen exportieren/importieren, was oft schon ausreichend ist.
• Sobald die neue Verwaltung auf dem neuen Server steht lassen sich die Systeme mit der Aufgabe “Administrationsserver wechseln” automatisiert selektiv oder komplett auf den neuen Server umziehen. (Zuerst mit einer kleinen Test-Gruppe beginnen)

Diese Vorgehensweise hat neben dem bereits genannten Aspekt (von Altlasten befreien) in meinen Augen weitere Vorteile:

• Eine Neuinstallation und die komplett neue Konfiguration zwingt einen dazu sich mit dem Thema “EndpointSecurity” und den Funktionen der Kaspersky Produkte auseinander zu setzen.  Dabei sollten auch die Fragen im Vordergrund stehen:
  • Was hat sich seit dem Aufsetzen der “alten” Umgebung bzgl. des Bedrohungsszenarios geändert?
  • Was muss ich tun und was bieten mir die aktuellen Kaspersky-Produkte, um mich gegen aktuelle und zukünftige Bedrohungen bestmöglich zu schützen.
  • Welche Prozesse muss/kann ich etablieren, um auch in Zukunft Veränderungen in der Bedrohungslage zu registrieren und darauf zu reagieren.
• Da beide Server parallel laufen habe ich alle Zeit der Welt die neue Konfiguration / die neuen Produkte zu testen und abzustimmen. 
• Ich kann jederzeit auf den alten Server zugreifen, Nachzügler erfassen, ggf. doch noch Konfigurationen übertragen, etc.

Grüße
Alex

[JP2020]

@alexcad 

danke für deine Antwort, vorab: kann ich die neue (zweite) instanz des KSC Servers auf der selben hardware einrichten wo aktuell die alte läuft?

[alexcad]

Davon würde ich dringend abraten. Du müsstest sämtliche Standards ändern: Alle Ports, die Datenbank-Einstellungen, etc.
Da sind Fehler vorprogrammiert - bin mir nicht mal sicher, ob das überhaupt machbar ist. 

Dank Virtualisierung sollte es heutzutage eigentlich kein Problem sein einen neuen Server parallel zu installieren

Grüße
Alex

[d.claes]

Hi JP2020,

 

ich habe mir genau die selbe Frage gestellt. Wir benutzen bzw. haben ein KSC 10 benutzt und ich habe mir ebenfalls überlegt direkt einen neuen Server KSC 12 zu installieren. Auf unserem alten KSC gibt es ebenfalls viele Altlasten, eine ungeordnete Struktur und teilweise korrupte Datenbanken.

 

Ich habe mich daher auch für eine komplette Neuinstallation entschieden. Hier ein grober Ablauf wie ich vorgegangen bin (ist sehr wahrscheinlich optimierbar):
 

• Grundstruktur: Ich habe mich vor der KSC 12 Neuinstallation bereits um eine Grundstruktur Gedanken gemacht. Da unser Active Directory ebenfalls keine wirkliche Struktur hatte und ebenfalls viele Altlasten beinhaltet hatte, hatte ich mich im ersten Schritt darum gekümmert. Beim Aufbau der neuen Struktur habe ich stets im Hinterkopf behalten, diese Struktur ebenfalls für das neue KSC 12 zu nehmen. Daher habe ich eine Struktur nach Clients/Servern → Standorte und danach nach Abteilungen überlegt und aufgebaut.
• Installation: Danach habe ich ein Windows Server 2019 Datacenter aufgebaut mit einem SQL Server 2019 Enterprise. KSC und SQL habe ich auf einer extra virtuellen Festplatte installiert. Bei meiner Anzahl der Geräte würde auf jeden Fall ein SQL Server Express Installation reichen. Jedoch möchte ich in naher Zukunft die “Programmkontrolle” testen und ebenfalls produktiv einsetzen. Dort wird ebenfalls eine andere Version als die SQL Server Express Version empfohlen. Bei der SQL Server 2019 Enterprise Edition muss nach der KSC 12 Installation ebenfalls ein Befehl im SSMS ausgeführt werden (https://support.kaspersky.com/KSC/12/DE-de/92235.htm)
• Vorbereitung (Rollout neuer Agents / Remote Installation/Deinstallation): Dieser Punkt ist durchaus einer der wichtigsten. Leider habe ich mich mit diesem Punkt anfangs gar nicht beschäftigt. Ich bin leider davon ausgegangen, dass dies bereits von meinen ehemaligen Kollegen erledigt wurde. War leider nicht der Fall :/
  Folgende Schritte sollten vorher getätigt werden (Verbesserungsvorschläge gerne gesehen):
  1. Öffnen von Ports:
  Ich habe folgende Ports einmal in der Kaspersky Firewall selbst geöffnet und per GPO in der Windows Defender Firewall ebenfalls: TCP 139, 445, 13000, 14000, 18000 und UDP 137, 138, 13000
  2. ICMP Ping erlauben: Zur Sicherheit in der Kaspersky Firewall und in der Windows Defender Firewall Ping erlauben.
  4. Erreichbarkeit: Erreicht der neue KSC Server alle Netze bzw. VLANs? Netzwerkkonfiguration ggf. temporär umkonfigurieren.
  3. Testweise eine Remote Installatioon auf einem Computer ohne Agent durchführen (sollte der Agent komplett neuinstalliert werden und nicht der alte Agent upgedatet werden)
• Richtlinien & Aufgaben: Im Anschluss habe ich den Schnellstartassistent ausgeführt. Danach habe ich eine Active Directory Gerätesuche gestartet und mein aktualisiertes AD eingebunden. Im Anschluss habe ich zuerst alle Richtlinien und Aufgaben importiert bzw. neu erstellt. Diese habe ich dann direkt auf die jeweiligen Untergruppen des ADs angewandt. Sollte es die Zeit hergeben würde ich auf jeden Fall die Richtlinien von bspw. KES for Windows nochmal neu anlegen und jeden einzelnen Punkt durchgehen bzw. überarbeiten. Dadurch können bspw. alte Ausnahmen entfernt werden und man beschäfitgt sich deutlich mehr mit den einzelnen “Features”.
• Umzug der Clients/Servern: In diesem Schritt könnte man ebenfalls die Aufgabe “Administrationsserver wechseln” benutzen. Über diese Methode habe ich ebenfalls mal mit einem Kaspersky Support Mitarbeiter gesprochen. In meinem Fall hat er mir folgendes empfohlen:  Deinstallation des alten Kaspersky Security Center 10 Administrationsagent und anschließend Neuinstalllation des KSC 12 Administrationsagent. Dies habe ich dann in diesem Schritt getan. Wobei ich in diesem Schritt teilweise vielleicht “zu” sicher vorgegangen bin und ich für den neuen Rollout insgesamt länger gebraucht habe. Folgende Schritte habe ich durchgeführt:
  1. Auf dem alten KSC 10 die oberste Struktur genommen → Suchen → Active Directory → AD auswählen & alle Unterordner einbeziehen →  In dieser Übersicht habe ich dann zuerst alle Server, die den Echtzeitschutz ausgeführt haben und der Administrationsagent aktiv war ausgewählt. Dort habe ich dann mittels Remote den alten Agent deinstalliert. Sobald die Aufgabe durchgelaufen war, habe ich auf dem neuen Server die neue Version des Agents installiert.
  2. Den ersten Schritt habe ich dann für alle Clients ebenfalls durchgeführt. Dadurch werden tägliche Aufgaben & die aktive Richtlinie nur kurzzeitig unterbrochen. Tägliche Aufgaben werden wahrscheinlich gar nicht unterbrochen, da ich im Anschluss  ja den neuen Agent direkt installiere und die neuen Richtlinien & Aufgaben direkt greifen. Hiermit habe ich dann einen nahtlosen Übergang. Wie aber bereits Alex erwähnt hat: Neben der Neuinstallation des Server läuft der alte KSC weiter. Dadurch kannst du jederzeit auf alte Richtlinien/Aufgaben zurückgreifen und Clients die beim neuen Rollout nicht übernommen worden sind, im speziellen nochmal neu anstoßen.

Fazit: Insgesamt gab es einen “recht” reibungslosen Ablauf der Neuinstallation. Ich hätte mich vorher mit der Vorbereitung des neuen Rollouts beschäftigen sollen bzw. schauen sollen ob alle Vorbereitungen getroffen waren um eine Remote Installation auf alle Netze durchzuführen. In meinem Fall kann ich nun teilweise einzelne Clients nicht per FQDN auflösen. Vereinzelt kann ich Clients auch überhaupt nicht pingen. Dies liegt aber im Zusammenhang mit einem nicht aufgeräumten DNS. Mit dem KSC an sich gibt bzw. gab es keine Probleme bei der Neuinstalllation.

 

Hoffe ich konnte dir einige Frage vielleicht abnehmen und dir vielleicht paar “Ängste” nehmen! :)

 

Viele Grüße

 

Dennis